Na het schandaal waarbij van een aantal bekende mensen naaktfoto's naar buiten kwamen, en Apple ontkende dat iCloud gekraakt was, heeft Apple veel gedaan aan de beveiliging van hun Cloud-dienst. Maar dat stopt hackers natuurlijk niet om het te blijven proberen, en gisteren bleek dat het iemand lukte.

Hij deed dat met een bestand met veel gebruikte wachtwoorden die dan allemaal op iCloud losgelaten werden. Dat bestand met de uitleg is hier te vinden. Opvallend is vooral het leek dat dit werkte, en dat Apple geen 'rate limiter' op iCloud gezet heeft. Want tijdens dat eerdere schandaal werd al gemeld dat je oneindig veel wachtwoorden op iCloud kon uitproberen, en dat is niet zo'n slim idee.

We schrijven dit laatste gelukkig in de verleden tijd, want bij dat bestand waarmee je iCloud kan proberen te hacken staan inmiddels twee waarschuwingen, waar wij uit opmaken dat Apple er nu wel een rate limiter op heeft gezet:

-=Reports coming in that Server is now Patched with Rate Limiter=-
-=Server Fully Patched, Discontinue use if you don't want to lock your account!!=-

Goed dat het nu gebeurd is, maar bizar dat Apple dit niet eerder gedaan heeft. Want twee-staps-verificatie en dat soort dingen is allemaal prachtig, maar als hackers eindeloos wachtwoorden kunnen uitproberen zijn alle mensen die daar niet voor gekozen hebben wel erg makkelijk het haasje. En dat lijkt ons toch echt niet de bedoeling.

Het lijkt er op dat het probleem inmiddels weer opgelost is, maar voor alle zekerheid raden we iedereen wel even aan om in de lijst van wachtwoorden die deze hacker gebruikte te kijken of jouw wachtwoord daar tussen staat. Want als dat zo is, dan gebruik je een wachtwoord dat niet erg veilig is.

Dat geldt natuurlijk ook voor de Nederlandse variaties. We zien op die lijst bovenaan "Password1" staan, terwijl "Wachtwoord1" er niet op staat. Maar dat is natuurlijk net zo onveilig.



met dank aan forumlid 'JackMac', die dit nieuws op ons forum meldde

Het lijken wel allemaal Engelstalige wachtwoorden...

Even sorteren zou wel handig zijn.

Heb je een terminalcommando voor  

Mijn wachtwoorden staan er niet tussen!

Schijnt overigens al weer gepatched te zijn door Apple (om mbv dit tooltje te bruteforcen...)

http://tweakers.net/nieuws/100545/apple-dicht-lek-dat-icloud-kwetsbaar-maakte-voor-brute-force-aanvallen.html

kan wat mij betreft een slotje op

Bij Ars Technica heeft men de laatste twee jaar een aantal artikelen geplaatst over de veiligheid van wachtwoorden, en wat je kunt doen om een sterker wachtwoord te hebben. Er zijn de nodige 'guidelines', waarvan de bekendste is om vooral een voldoende lang (minimaal 12 karakters, maar meer is beter) wachtwoord te gebruiken, opgebouwd uit meerdere 'willekeurige' woorden gemengd met andere karakters.

Bijvoorbeeld: rObErt#zoz!wsx

http://www.google.nl/search?q=site:arstechnica.com+password+security

Mijn wachtwoord staat niet in de lijst, maar Pieterr geeft één voorbeeld en laat dat toevallig mijn wachtwoord zijn!

@ Spooter: dat Apple het lek al had gedicht stond ook al in het nieuwsbericht.

Zoals Pieter omschrijft schijnt inderdaad een optie te zijn voor betere wachtwoorden. Enkele jaren terug vond ik daar  een interessant artikel over, zéér goed onderbouwd. Spijtig genoeg bent ik de betreffende  webpagina kwijt maar ik ben sindsdien voor financieel gevoelige sites wel wachtwoorden gaan gebruiken zoals bijvoorbeeld: 18>tegenDeAcHterWand&_BoVenW~
Ander punt:
Vervelend is dat er sites zijn die bepaalde tekens niet toestaan bij samenstelling van wachtwoorden. Dat zou ècht eens verleden tijd moeten zijn, want deze beperkingen zijn ook een beperking op de sterkte van een wachtwoord. Je dwingt verschillende gebruikers dan een beperkt aantal (dezelfde) tekens te gebruiken.  

Ik gebruik deze site voor het genereren van wachtwoorden:
https://strongpasswordgenerator.com

Op onderstaande site kan je laten beoordelen hoeveel tijd het kost om het wachtwoord te kraken.
https://www.grc.com/haystack.htm

Is dit nu echt nieuws ?
Ik weet me  nog te herinneren toen, halverwege de jaren 80 van de vorige eeuw, het hacken in de media populair werd. In 1985 schreef bijvoorbeeld Jan Jacobs een boekje 'Hacken en Computers', waarin hij interviews met diverse Nederlandse hackers, o.a. Rop Gonggrijp, verwerkte en met name de kwetsbaarheid van wachtwoorden aan de orde kwam.
Met name de boekjes van de Libelle of Margriet met de meest populaire kindernamen per jaar schenen toen erg populair bij hackers te zijn omdat veel mensen de naam van hun kind of echtgenote als wachtwoord gebruikten. Een anonieme hacker meldde dat bij organisaties met oudere medewerkers 'Karin' en 'Sanne' vaak raak waren en bij bedrijven met jongere medewerkers 'Marjolein' en 'Monique' hoog scoorden. Ook 'Grolsch', 'Ajax' en 'Feijenoord' schenen het altijd goed te doen.
Als je deze lijst met 'Britney', 'Jessica', 'Brandon', 'Liverpool' en 'Arsenal' bekijkt, dan is er na 30 jaar niet veranderd ... .

Zelf heb ik ooit eens in het najaar van 1988 een test gedaan op het netwerk van mijn toenmalige werkgever met 'VanBasten', 'Gullit' en 'EK88' ... de resultaten waren verbluffend  

werner om 14:27, 03-01-2015
Op onderstaande site kan je laten beoordelen hoeveel tijd het kost om het wachtwoord te kraken.
https://www.grc.com/haystack.htm

Even geprobeerd:

Hmm, valt tegen Pieterr

Hildo om 14:38, 03-01-2015
Is dit nu echt nieuws ?

Nee zeker niet. Maar het kan geen kwaad om hier eens in de zoveel tijd weer even aandacht voor te vragen. Wat zeker veranderd is sinds de jaren 80 is dat de systemen om wachtwoorden te kraken factoren krachtiger zijn geworden. Zie de eerder genoemde artikelen bij Ars Technica voor details.

Ik haal mijn eerdere bericht even uit bovenstaand gesprek. Voor de duidelijkheid, en ik ben ook wel benieuwd naar een reactie.

Deze zin begrijp ik niet:

Want twee-staps-verificatie en dat soort dingen is allemaal prachtig, maar als hackers eindeloos wachtwoorden kunnen uitproberen stelt dat allemaal natuurlijk niet zoveel voor.

Want je kunt wachtwoorden raden wat je wilt, en ook nog de goede, maar je kunt er dan nog steeds niks mee. Je zult toch die 2e stap moeten uitvoeren, want anders kom je niet in de account.
Dus stelt die 2-staps verificatie wel degelijk veel voor!

@Flix: Je hebt gelijk: http://support.apple.com/nl-nl/ht5570.

LOL: Robert01 staat er ook tussen...

Met betrekking tot die link van werner die Pieter geprobeerd heeft: ik vind het zelf niet zo'n slim plan om wachtwoorden die ik daadwerkelijk gebruik daar zomaar in te typen. Die lui weten dan immers je IP-adres en een of meerdere wachtwoorden.
Het is maar een gedachte..

Das handig zo'n lijst, nu hoef ik zelf geen wachtwoorden meer te verzinnen.  

Flix om 18:21, 03-01-2015
je kunt wachtwoorden raden wat je wilt, en ook nog de goede, maar je kunt er dan nog steeds niks mee. Je zult toch die 2e stap moeten uitvoeren, want anders kom je niet in de account.
Dus stelt die 2-staps verificatie wel degelijk veel voor!

Nee, dat ben ik niet met je eens. Robert maakt hier volgens mij wel degelijk de juiste opmerking. Voor het inloggen op iCloud wordt geen tweetraps verificatie gebruikt. Alleen voor het wijzigen van je accountgegevens.

devman om 10:46, 04-01-2015
Voor het inloggen op iCloud wordt geen tweetraps verificatie gebruikt. Alleen voor het wijzigen van je accountgegevens.

Hoe kom je daar bij?
 

Hoe werkt het?

Wanneer u de twee-staps-verificatie instelt, registreert u één of meer vertrouwde apparaten. Een vertrouwd apparaat is een apparaat dat u zelf beheert en waarop viercijferige verificatiecodes kunnen worden ontvangen via sms of Zoek mijn iPhone. U moet minstens één telefoonnummer met sms-functie opgeven.

Wanneer u hierna inlogt om uw Apple ID te beheren op Mijn Apple ID, inlogt bij iCloud of een aankoop bij de iTunes Store, iBooks Store of App Store doet met een nieuw apparaat, moet u uw identiteit verifiëren door zowel uw wachtwoord als een viercijferige verificatiecode in te voeren zoals hieronder wordt weergegeven. 

We hebben de tekst aangepast, want die klopte inderdaad niet. De nieuwe tekst is als volgt:

Goed dat het nu gebeurd is, maar bizar dat Apple dit niet eerder gedaan heeft. Want twee-staps-verificatie en dat soort dingen is allemaal prachtig, maar als hackers eindeloos wachtwoorden kunnen uitproberen zijn alle mensen die daar niet voor gekozen hebben wel erg makkelijk het haasje. En dat lijkt ons toch echt niet de bedoeling.

Je hebt gelijk, Jules, het lijkt een honingpot...

MacFrankie om 11:40, 04-01-2015
Je hebt gelijk, Jules, het lijkt een honingpot...

GRC is een betrouwbare website die al jaren bezig is om mensen veiliger met internet en networked computers te laten werken.
In dit geval vertrouw ik het wel, een onbekende site zou ik ook niet zomaar mijn ww invoeren